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Netzwerkbrticke 
Stand der Technik 

Die Erfindung betrifft eine Netzwerkbriicke, insbesondere zur Kopplung von IEEE1394- 
Bussen. 

Stand der Technik 

Netzwerke nach IEEE 13 94 bestehen gemaB Figur 1 aus einer Anzahl von Knoten 
Kl...Kn ini Netzwerk, deren theoretische maximale Anzahl durch die Lange der 
entsprechenden Knoten-ID auf 63 beschrankt ist. Die Knoten-ID zur Adressierung der 
einzelnen Knoten hat eine Lange von 6 Bit; die Adresse 0x3F ist als Broadcast-Adresse 
reserviert. Mochte man mehr als 63 Knoten verbinden, besteht die Moglichkeit, mehrere 
separate Busse iiber eine Bus-Brucke zu verbinden. Diese Busse konnen wiederum 
einzeln iiber eine Bus-ID adressiert werden. Die Bus-ID hat eine Lange von 10 Bit, was 
1024 Bussen entspricht. Dabei ist die Adresse fur „Systemweite Broadcast" reserviert. 
Theoretisch konnten so 1023 x63 Knoten, also 64.449 Knoten zu einem Netzwerksystem 
verbunden werden. 

Ein serieller Bus nach IEEE1394 unterstiitzt die Ubertragung asynchroner und isochroner 
Daten. Wahrend der Empfang asynchroner Datenpakte von den empfangenden Knoten 
quittiert werden muss, urn eine sichere Datenubertragung zu gewahrleisten, ist fur 
isochrone Daten keine Quittung notwendig. Bus-Brucken zur Kopplung mehrerer Busse 
mussen die Ubertragung beider Datentypen unterstiitzen. Gleichzeitig mussen sie dafur 
sorgen, dass bei komplexeren Topologien jedes Datenpaket seinen Empfanger erreichen 
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kann und dass alle, im Netzwerksystem verbundenen Busse mit einem synchronisierten 
Takt laufen. Der Draft Standard IEEE1394.1 Version 1.04 spezifiziert die Funktionalitat 
einer solchen High Performance Serial Bus Bridge, speziell fur den Einsatz in 
Netzwerken nach IEEE 13 94b. 

Vorteile der Erfindung 

Die Netzwerkbriicke mit Mitteln zur Kontrolle des Inhalts und/oder des Volumens ein- 
und/oder ausgehender Daten, die durch die Netzwerkbriicke bzw. deren Speicher flielien, 
wobei die Mittel zur Kontrolle des Inhalts und/oder des Volumens von einer 
ubergeofdneten Instanz konfigurierbar und/oder steuerbar ausgebildet sind, ermoglicht 
den Dateninhalt und/oder das Datenvolumen durch die Netzwerkbriicke zu kontrollieren 
bzw. zu iiberwachen. 

Die Mittel zur Kontrolle des Inhalts und/oder des Volumens konnen aus einer Software- 
Komponente bestehen, die in der Netzwerkbriickenarchitektur auf einfache Weise 
eingefiigt werden kann und eine Gateway- und/oder Firewall-Funktionalitat aufweist. 
Dadurch kann der Inhalt und/oder das Volumen der ein- und ausgehenden Daten, die 
durch die Netzwerkbriicke bzw. deren Speicher flieBen, iiberwacht werden. 

Zeichnungen 

Anhand der Zeichnungen werden Ausfuhrungsbeispiele der Erfindung naher erlautert Es 
zeigen: 

Figur 2 ein Architekturmodell fiir eine Netzwerkbriicke nach der Erfindung 
Figur 3 die Steuerung der Netzwerkbriicken-Gateway-Firewall-Funktionalitat, 
Figur 4 eine alternative Realisierung. 

Beschreibung von Ausftihrungsbeispielen 
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Bevor die eigentliche Erfindung beschrieben wird, wird zum besseren Verstandnis zuerst 
die Funktionsweise eines Architekturmodells fur eine Netzwerkbriicke gemaB IEEE 13 94 
Draft- Version 1.04 vorgestellt. Die Netzwerkbrucke gemaB Figur 2 ist uber ihre Ports PI, 
P2 ... Pn mit jeweils zwei unabhangigen Netzen Nl, N2 verbunden und kann Daten 
empfangen und senden. Im Allgemeinen wird sie Daten aus einem Netz empfangen und 
in das andere Netz senden. Die Funktionsblocke "Port", "Configuration ROM", "PHY", 
"LINK" und "TRANSACTION" entsprechen denen eines normalen Netzwerk-Knotens 
nach IEEE 13 94. Zusatzlich verfligt die Netzwerkbrucke uber Routing Maps RM und eine 
Routing-Einheit RE fur jedes der beiden Netze. In den Routing Maps RM werden 
Informationen uber die Topologie und Knoten-Adressen in den jeweiligen Netzen 
bereitgehalten und uber die Routing-Einheit RE konnen Daten zwischen LINK bzw. 
TRANSACTION und Speicher F der Netzwerkbrucke NB ausgetauscht werden. Nach 
IEEE1394.1 besteht der Speicher F aus einer Anzahl einzelner FIFOs, die Daten, welche 
von einem Bus zum anderen transportiert werden sollen, zwischenspeichern. Die 
Netzwerkbrucke verfligt aulierdem uber einen internen Timer T ("Cycle Timer"), mit 
denen sie in der Lage ist, die Takte in den beiden Bussen zu synchronisieren. 

Die Steuerung der Routing-Einheiten RE, wie auch der Funktionsblocke "Port", 
"Configuration ROM", "PHY", "LINK" und "TRANSACTION" erfolgt uber die 
Funktionseinheiten "Portal Control" PC. 

Der Speicher F der Netzwerkbrucke verfligt erfindungsgemaB uber eine 
Netzwerkbrucken-Gateway-Firewall-Funktionalitat BGF uber die Inhalt und/oder das 
Volumen der ein- und ausgehenden Daten, die durch den FIFO-Speicher F flieBen, 
kontrolliert werden. Fur isochrone Daten sind die zwei oberen Speicherbereiche 
reserviert. Fur asynchrone Daten sind zwei Anfrage (Request)-Speicherbereiche und zwei 
Antwort (Response)-Speicherbereiche vorgesehen. 

Die Kontrolle des Inhalts und/oder des Volumens erfolgt von der ubergeordneten Instanz 
BGF oder ist fest vorgegeben. 

Durch die Uberprufung und Steuerung der Daten sind Zugangskontrollen oder auch 
diverse Filterfunktionen, z.B. Paketfilter, fur den Datenfluss von einem Bussegment uber 
die Netzwerkbrucke zum nachsten Bussegment moglich. Dies ist die Grundlage fur eine 
sichere und geschiitzte Daten iibertragung uber die Netzwerkbrucke. Im Einzelnen bietet 
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die "Bridge-Gateway-Firewall-Funktionalitat" Schutz vor ungewollten Verbindungen, 
wie z.B. Hackerangriffe, oder es wird verhindert, dass vertrauliche Daten unerlaubt iiber 
die Netzwerkbriicke ausgetauscht werden. Die Netzwerkbriicken-Gateway-Firewali- 
Funktionalitat kann konfiguriert werden bzw. bekommt die benotigten Informationen 
iiber geeignete Software-Schnittstellen von einer iibergeordneten Instanz, z.B. einer 
Software-Schicht mit Management- und Konfigurationsaufgaben. Weiterhin ist es 
moglich, die Netzwerkbrucken-Gateway-Firewall-Funktionalitat jeder einzelnen 
Netzwerkbrucke individuell zu konfigurieren. Das heiBt, jede Netzwerkbriicke ist 
unabhangig von den anderen in der Lage, keine, eine oder mehrere Funktionen eines 
Gateways oder einer Firewall auszufiihren. 

Die Netzwerkbrucken-Gateway-Firewall-Funktionalitat kann z.B. aus einer sogenannten 
Control Unit CU und einer Netzwerkbrucken-Gateway-Firewall-Funktionalitat (Modul 
BGF gemaB Figur 3) bestehen, die es ermoglicht, die Daten (Inhalt und Volumen), die 
durch den Speicher F der Netzwerkbrucke flieBen, zu analysieren und zu manipulieren. 
Die Analyse der Daten kann auf verschiedenen Ebenen, insbesondere in verschiedenen 
Schichten des OSI-Referenzmodells erfolgen. Das heiBt auf unterster (physikalischer) 
Ebene konnen die 1 3 94-Paket informationen gepriift werden, aber nicht nur der 1394- 
Header, sondern auch der Inhalt der Nutzdaten kann genau analysiert werden. Somit auch 
die Daten von hoheren Schichten, wie z.B. IP-Datea, bis hoch zu den Daten der 
Anwendungsschicht und den Nutzerdaten. Der Umfang der moglichen Datenanalyse wird 
insbesondere skalierbar ausgebildet, derm er steht im Verhaltnis mit der dafiir benotigten 
Zeit, die wiederum von der Rechenleistung des Prozessors abhangt. Das heiBt, dass es 
z.B. verschiedene Filterregeln gibt, und diese sind wiederum konfigurierbar. Die 
Konfiguration dieser Filterregeln bzw. der gesamten Funktionalitat der Netzwerkbrucken- 
Gateway-Fireball kann von einer iibergeordneten Softwareschicht aus, z.B. der 
Management- und Konfigurationsschicht (Konfiguration Layer) BMC, geschehen. 

Ein moglicher Zugriff auf die Daten erfolgt zu einem Zeitpunkt (1), wenn die Daten in 
den Speicher-FEFO (2) geschrieben werden. Dort bleiben sie so iange, bis die 
Netzwerkbrucken-Gateway-Firewall die Daten bearbeitet hat und sie wieder freigibt (3). 
Diese Art der Realisierung kann angewendet werden, wenn sich die Datenanalyse der 
Netzwerkbrucken-Gateway-Firewall-Funktionalitat auf den Datenumfang beschrankt, der 
in dem FIFO zwischengespeichert werden kann. Ein Beispiel hierfur ist die 
Adressfunktion (Quell- und Zieladresse): Die Netzwerkbrucken-Gateway-Firewall- 
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Control Unit CU scannt die Datenpakte im FIFO auf bestimmte IP-Adressen, die durch 
die Konfiguration der Netzwerkbriicken-Gateway-Firewall vorgesehen sind und spent die 
Kommunikation von oder zu diesen bestimmten Adressaten. Ein anderes Beispiel ist das 
Sperren oder Priorisieren von bestimmten Eingangs- und Ausgangsinterfaces, wie z.B. 
den jeweiligen PHY-Ports. Ein weiteres Beispiel ist die Protokollfunktion der 
Netzwerkbriicken-Gateway-Firewall: Mit dieser Funktion kann der gesamte 
Datenverkehr durch die Netzwerkbrucke protokolliert werden. Das heiflt, es werden die 
Netz- und/oder Knotenadressen der Pakete, die die Netzwerkbrucke passieren, in einer 
Tabelle oder einem Logfile festgehalten und in gewissen Abstanden an einen anderen 
Funktionsblock wie z.B. das Bridge-Management BMC oder an einen bestimmten 
Knoten, der die Daten auswahlt, ubermittelt 

Ein etwas anderer Aufbau zur Realisierung der Netzwerkbriicken-Gateway-Firewall zeigt 
Figur 4. Dort ist zu erkennen, dass der gesamte Datenfluss durch die Netzwerkbrucke 
ebenfalls durch die "Bridge-Gateway-Firewall" flieBt Dies ist notwendig, wenn sich die 
Datenanalyse auf mehrere Pakete ausdehnt und diese nicht gleichzeitig im FIFO 
gespeichert werden konnen oder wenn die Analyse der Nutzdaten mehr Zeit in Anspruch 
nimmt und zusatzliche Buffer (Speicher MM) oder mehr Rechenleistung (Prozessor PR) 
benotigt werden. 

Zur moglichen Kontrolle des Datenvolumens kann z.B. fur einen bestimmten Zeitraum, 
der per Konfiguration von aufien, d.h. von irgendeinem bestimmten Knoten im Netzwerk 
oder der BMC jederzeit festgelegt werden kann, die Netzwerkbriicken-Gateway-Firewall 
die Ubertragung der isochronen Kanale unterbrechen und bei der Ubertragung der 
asynchronen Kanale den Datenfluss so zu steuern, dass jedem einzelnen Knoten nur eine 
bestimmte Anzahl von Dateniibertragungen erlaubt wird. Ist die Anzahl erreicht, werden 
weitere Daten von der Netzwerkbrucken-Gateway-Firewall ignoriert 

Die Interaktion der einzelnen Funktionsblocke innerhalb der Netzwerkbrucke erfolgt uber 
Schnittstellen, iiber die Daten gelesen und/oder geschrieben werden konnen. Uber eine 
solche Schnittstelle kann die Management-Konfigurationsschicht BMC, die in Hardware 
oder in Software ausgebildet sein kann, statistische Daten, Nutzdaten oder Parameter zum 
Betrieb der Funktionsblocke rnanipulieren. Durch das Sammeln verschiedener Daten ist 
es der Softwareschicht moglich, Statistiken zum laufenden Betrieb der Netzwerkbrucke 
in kurzer Zeit zu erstellen. Diese konnen wiederum dazu genutzt werden, den Betrieb der 
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Funktionsblocke zu optimieren, indem z.B. Parameter insbesondere der Funktionsblocke 
geandert werden. Als Beispiel soil ein Netzwerk nach IEEE 13 94 dienen, in dem zeitweise 
iiberwiegend isochrone Daten, z.B. Audio- und Video-Steams und zeitweise iiberwiegend 
asynchrone Daten iibertragen werden. Uber statistische Auswertungen kann die 
Management- und Konfigurationsschicht BMC oder dartiber liegende Software-Schichten 
erkennen, dass der Anteil der asynchronen Daten am Gesamtdatenaufkommen stark 
zunimmt. Es ist dann moglich, denn flexiblen FIFO-Block F so umzukonfigurieren oder 
ihm entsprechende Vorgaben fttr ein automatisches Umkonfigurieren zu machen, dass die 
Speicherbereiche fiir isochrone Daten verkleinert und fur asynchrone Daten vergroBert 
werden. Die Netzwerkbrucke kann dadurch schnell auf Anderungen reagieren und muss 
nicht permanent Speicherbereiche fur isochrone und asynchrone Datendurchsatze 
bereithalten. 
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Anspriiche 

1 . Netzwerkbriicke, insbesondere zur Kopplung von IEEE1394-Bussen, beinhaltend: 

Mitteln (BGF) zur Kontrolle des Inhalts und/oder des Volumens ein- und/oder 
ausgehender Daten, die durch die Netzwerkbriicke bzw. deren Speicher (F) flieBen, 
wobei die Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens von einer 
iibergeordneten Instanz (BMC) konfigurierbar und/oder steuerbar ausgebildet sind 
oder fest vorgegeben sind. 

2. Netzwerkbriicke nach Anspruch 1, dadurch gekennzeichnet, dass die Ubergeordnete 
Instanz (BMC) eine Management- und/oder Konfigurationsschicht fur die 
Netzwerkbriicke ist 

3. Netzwerkbriicke nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Mittel 
(BGF) zur Kontrolle des Inhalts und/oder des Volumens aus einer Softwarekomponente 
, innerhalb der Netzwerkbriicken-Architektur bestehen, die eine Gateway- und/oder 
Firewall-Funktionalitat aurweisen. 

4. Netzwerkbriicke nach einem der Anspriiche 1 bis 3 , dadurch gekennzeichnet, dass der 
Umfang der Datenanalyse durch die Mittel (BGF) zur Kontrolle des Inhalts und/oder des 
Volumens skalierbar ausgebildet ist. 

5. Netzwerkbriicke nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet, dass die 
Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens derart ausgebildet sind 5 
dass neben einer Analyse der Daten auch eine Manipulation derselben durchfuhrbar ist 
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6. Netzwerkbrucke nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, dass die 
Analyse der Daten und ggf. deren Manipulation in verschiedenen Schichten eines 
Schichtenmodells, insbesondere des OSI-Referenzmodells, durchfuhrbar ist. 

7. Netzwerkbrucke nach einem der Anspruche 1 bis 6, dadurch gekennzeichnet, dass die 
Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens ausgebildet sind, 
Adressen, Eingangs- und Ausgangsinterfaces und/oder Protokollinformationen anhand 
der Auswertung zu sperren oder zu priorisieren. 

8. System, bestehend aus mehreren Netzwerkbrucken nach einem der Anspruche 1 bis 7, 
dadurch gekennzeichnet, dass die Mittel (BGF) zur Kontrolle des Inhalts und/oder des 
Volumens in jeder Netzwerkbrucke individual konfigurierbar sind, urn zu ermoglichen, 
dass jede Netzwerkbrucke unabhangig von der/den anderen in der Lage ist, keine, eine ' 
oder mehrere Funktionen eines Gateways oder einer Firewall auszufuhren. 
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Netzwerkbrucke 



Zusammenfassung 



Bei einer Netzwerkbrucke sind Mittel (BGF) zur Kontrolle des Inhalts und/oder 
Volumens ein- und/oder ausgehender Daten, die durch die Netzwerkbrucke bzw. deren 
Speicher (F) fliefien, vorgesehen. Die Mittel (BGF) konnen von einer iibergeordneten 
Instanz (BMC) konfigurierbar und/oder steuerbar ausgebildet oder fest vorgegeben sein. 



(Figur 2) 



